一、漏洞详情
Snap是适用于桌面、云和物联网的应用程序包,可自动更新、易于安装、安全、跨平台且无依赖性。它们每天都在数百万个Linux系统上使用,在Ubuntu系统上默认安装,该漏洞主要影响主流的Ubuntu系统。
Snapd本地权限提升漏洞(CVE-2022-3328):该漏洞是由于受影响版本的Snapd存在竞争条件漏洞,当用户创建私有快照时,非特权攻击者可以结合multipath授权绕过漏洞(CVE-2022-41974)和multipath符号链接攻击漏洞(CVE-2022-41973)将/tmp目录绑定到文件系统中的任意目录,进而将普通用户权限提升至ROOT权限。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
2.54.3 <= snapd < 2.57.6
Ubuntu:2.54.3+ubuntu <= snapd < 2.57.5+ubuntu
三、修复建议
目前Snap官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载链接:https://github.com/snapcore/snapd/releases/tag/2.57.6